Como soluciono erros de controle de acesso refinado no meu cluster do Amazon OpenSearch Service?

Breve descrição

Alguns dos seguintes erros de controle de acesso refinado (FGAC) em seu cluster do OpenSearch Service:

• Erros 403 “security_exception”,“reason”:“no permissions”
• “User: anonymous is not authorized to perform: iam:PassRole”
• "Couldn't find any Elasticsearch data"
• Erros 401 não autorizados

Além de solucionar esses erros, este artigo mostra como concluir as seguintes tarefas usando o OpenSearch Service:

• Integre outros serviços da AWS com o OpenSearch Service quando o controle de acesso refinado estiver ativado
• Permitir acesso anônimo usando controle de acesso refinado
• Forneça acesso refinado a índices, painéis e visualizações específicos com base na locação do usuário
• Use o controle de acesso refinado no nível do campo

Resolução

Erros 403 “security_exception”,“reason”:“no permissions”

Para solucionar esse erro, confira primeiro se o usuário ou a função de backend no seu cluster do OpenSearch Service tem as permissões exigidas. Em seguida, mapeie o usuário ou a função de backend para uma função.

“User: anonymous is not authorized to perform: iam:PassRole”

Você pode receber esse erro ao tentar inscrever um snapshot manual. Além das permissões exigidas normais para a função do Amazon Identity and Access Management (IAM) que você usou para inscrever o snapshot manual, você deverá mapear a função manage_snapshots para a função do IAM. Use esse perfil do IAM para enviar uma solicitação assinada ao domínio.

"Couldn't find any Elasticsearch data"

Você pode receber esse erro ao tentar criar padrões de índice após a atualização para a versão 7.9 do OpenSearch Service. Use a resolve index API (API de resolução de índice) para adicionar "indices:admin/resolve/index" a todos os índices e aliases ao criar um padrão de índice em um cluster ativado por FGAC. Quando essa permissão está ausente, o OpenSearch Service lança um código de status de erro 403. Em seguida, isso é mapeado para um código de status de erro 500 do OpenSearch Dashboards. Como resultado, os índices não estão listados.

Erros 401 não autorizados

Você pode receber um erro 401 não autorizado ao usar os caracteres “$” ou “!” nas credenciais primárias com curl -u “user:password”. Certifique-se de colocar suas credenciais entre aspas simples, como no exemplo a seguir:

curl -u <DOMAIN-ENDPOINT>

Integre outros serviços da AWS com o OpenSearch Service quando o controle de acesso refinado estiver ativado

Para integrar outro serviço da AWS com o OpenSearch Service quando o controle de acesso refinado é ativado, você deve conceder os perfis do IAM para esses serviços as permissões apropriadas. Para obter mais informações, consulte a seguinte documentação sobre como usar Integrations (Integrações) com controle de acesso refinado.

Permitir acesso anônimo usando controle de acesso refinado

Devido à natureza gerenciada do OpenSearch Service, o acesso anônimo não é compatível no momento.

Forneça acesso refinado a índices, painéis e visualizações específicos com base na locação do usuário

Para fornecer acesso ao FGAC a índices ou painéis específicos, mapeie o usuário para uma função com permissões para o índice Kibana do locatário:

.kibana_<hash>_<tenant_name>

Para obter mais informações, consulte Manage Kabana indices (Gerenciar índices Kibana) no site do Open Distro.

Use o controle de acesso refinado no nível do campo

Para usar o controle de acesso refinado no nível do campo, configure uma função com a segurança no nível do campo necessária. Em seguida, mapeie o usuário para a função que você criou.

---

Informações relacionadas

Fine-grained access control in Amazon OpenSearch Service